IPtables 匹配条件

已于 2022-10-09 10:34:00 修改
阅读量1.6k 收藏
点赞数
分类专栏: Netfilter/IPtables 文章标签: 运维
于 2022-08-30 11:35:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/126520271
版权

Iptables基本匹配

我们前面在练习规则操作时,使用的"匹配条件"比较少,下面我们来了解下iptables 匹配条件更多的用法,iptables匹配参数如下:

可以指定来源的协议,或者来源的IP满足多少, 源地址/目标地址是谁,源端口/目标端口哪个接口接受的。

-m:是用来做扩展匹配的。

-j:就是具体的动作。drop就是什么消息都不返回,reject就会返回因为防火墙阻止了,也就是一个会返回消息,一个不会返回消息。

一般使用drop,因为使用reject它知道是防火墙拦截了,所以可能会想其他办法绕过防火墙。

仅允许10.0.0.10访问10.0.0.200服务器的80端口、其他地址全部拒绝。

filter 表∶INPUT: 做的是过滤操作

-s:指定来源地址                                -d:指定目标地址                            --deport:指定目标端口

iptables -t filter -I INPUT -p tcp -s 10.0.0.10 -d 10.0.0.200 --dport 80 -j DROP

测试一下,使用telnet命令 

可以针对某个来源的地址做规则的限制。

如果不符合这条drop的规则,那么就继续往下去匹配,下面没有规则就回到链的默认规则,默认规则是ACCEPT,只要没有符合这条规则,那么就都允许。

仅允许10.0.0.1访问10.0.0.200服务器的'22'端口、其他地址全部拒绝。

iptables -t filter -I INPUT -s 10.0.0.1 -d 10.0.0.200 -p tcp --dport 22 -j ACCEPT

-A是在后面追加

iptables -t filter -A INPUT -d 10.0.0.200 -p tcp --dport 22 -j DROP

规则从上到下匹配,如果IP来源10.0.0.1符合规则,那么下面规则就不执行了,如果来源于其他规则不满足,那么就走下面,任何地址到本机的22都拒绝。(并没有调整默认策略

[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  10.0.0.1             10.0.0.200           tcp dpt:22
DROP       tcp  --  0.0.0.0/0            10.0.0.200           tcp dpt:22

所有来访本机的协议,属于TCP协议的我们统统都放行

iptables -t filter -I INPUT -p tcp -j  ACCEPT
iptables -t filter -A INPUT  -j  DROP
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0

比如域名查询这些都是不行的,因为是UDP协议,域名查询需要UDP。 

eth0的ping不通,eth1的ping正常。 

从本机出去,数据包从本机出去,越早做越好,那么就是output链,在filter表。

富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能,参数,配置实例,例如: ah-esp condition conntrack fuzzy iplimit ipv4options length nth pkttype u32 等,基本全部模块。
iptables 的一些-m模块
BUG_MeDe的博客
07-07 2376
iptables一些简单的模块
iptables数据包、连接标记模块MARK/CONNMARK的使用(打标签)
angou6476的博客
02-05 933
MARK标记用于将特定的数据包打上标签,供iptables配合TC做QOS流量限制或应用策略路由。 看看和MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt_MARK.so libxt_connmark.so libxt_mark.so 其中大写的为标记模块,小写的为匹配模...
iptables mark 相关用法及使用举例
mudawei1的博客
08-13 2343
iptables mark使用方法,涉及到QOS ,rule route
iptable mark功能
oujiangping的博客
08-08 2639
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。下面介绍iptables简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配mark –mark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不
关于iptables -m选项以及规则的理解
weixin_34268843的博客
11-21 1733
关于iptables的详细状态可以查看http://os.51cto.com/art/201108/285209.htm 时常在服务器的防火墙上看到有这些规则, 2 106K 8294K ACCEPT all --0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED,我觉得有必要搞下这个iptables了 下面就来...
iptables详解
魏志标的博客
06-26 5698
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 3827
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables 详解iptables 详解
12-02
iptables 详解
iptables手册.pdf
08-15
适用于内外网,物理机环境对安全要求严格,文章描述清除,浅显易懂 带有图片描述不至于过于枯燥
linux下iptables手册
01-18
iptables手册
iptables-1.4.21
11-24
centos7离线安装iptablesiptables-1.4.21-34.el7.x86_64.rpm和iptables-services-1.4.21-34.el7.x86_64.rpm
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 423
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
Git & TortoiseGit 详细安装使用教程
m0_37383484的博客
04-20 1091
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
【ROMA解决方案和功能架构】
数据也是生产力,保持热爱,奔赴山海!
04-23 716
1、基于ROMA融合集成平台,实现企业应用、数据、API 、OT设备、云服务、合作伙伴应用之间的集成连接。2、ROMA主要包含四个组件:数据集成(Fast Data Integration,简称FDI)、服务集成(API Connect,简称APIC)、消息集成(Message Queue Service,简称MQS)、设备集成(LINK)。
Linux网络—DNS域名解析服务
weixin_62922268的博客
04-25 935
1)缓存域名服务器2)主域名服务器3)从域名服务器客户端会先将DNS解析请求发送给本地缓存域名服务器,如果本地缓存域名服务器有相关记录则直接返回给客户端,否则会将DNS解析请求发送给根域名服务器进行解析,根域名服务器会根据域名的顶级域再将DNS解析请求委派给相对应的顶级域名服务器进行解析,顶级域名服务器也会根据域名的二级域或子域再将DNS解析请求委派给相对应的二级域名或子域名服务器进行解析,最后子域名服务器会根据域名的主机名解析出相对应的IP地址,再返回给本地缓存域名服务器和客户端。
Docker和虚拟机的区别
最新发布
小张的博客
04-26 209
Docker和虚拟机(VM)在技术架构、资源利用率、启动速度、应用场景和管理监控等方面存在显著差异。以下是Docker和虚拟机的主要区别:12。
条件取反_iptables系列------第四篇:iptables匹配条件总结之一
06-01
好的,让我来给你总结一下iptables的常见匹配条件: 1. 匹配协议:使用 `-p` 参数指定协议,常见协议包括 TCP、UDP、ICMP等,例如: ``` # 匹配 TCP 协议 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 源/目标地址:使用 `-s` 和 `-d` 参数指定源地址和目标地址,例如: ``` # 允许来自 IP 地址为 192.168.1.100 的主机访问 SSH 服务 iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT # 允许向 IP 地址为 192.168.1.100 的主机发送 HTTP 请求 iptables -A OUTPUT -d 192.168.1.100 -p tcp --dport 80 -j ACCEPT ``` 3. 匹配端口:使用 `--dport` 和 `--sport` 参数指定目标端口和源端口,例如: ``` # 允许访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许从本地主机向远程主机发送 HTTP 请求 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ``` 4. 匹配数据包的状态:使用 `--state` 参数指定数据包的状态,例如: ``` # 允许已经建立的 TCP 连接通过 iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许 ICMP 数据包通过 iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT ``` 5. 匹配 MAC 地址:使用 `-m mac --mac-source` 参数指定源 MAC 地址,例如: ``` # 允许来自 MAC 地址为 00:11:22:33:44:55 的主机访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT ``` 这些是iptables的常见匹配条件,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值